Khi MS rời khỏi vùng phủ sóng của BTS, nó sẽ chuyển sang BTS khác. Quá trình chuyển vùng bao gồm các đánh giá kênh vô tuyến để lựa chọn BTS sẵn có tốt nhất, đăng ký với BTS mới và kết thúc kết nối với BTS trƣớc đấy.
Một giao thức báo hiệu tƣơng tự nhƣ vậy có thể đƣợc sử dụng trong hệ thống hội tụ di động-cáp. Lớp kênh vô tuyến đƣợc thay thế bằng ống dẫn băng rộng nhƣ đƣợc minh họa ở phía trái của hình 2.6. BSC, BTS và kênh vơ tuyến tế bào đƣợc thay thế bằng gateway quản lý truy nhập (để phỏng tạo BSC), hệ thống kết cuối modem cáp (CMTS), modem cáp (CM) có tích hợp điểm truy nhập (AP) WLAN, và kênh vô tuyến WLAN.
Registration: đăng ký
PSTN: mạng điện thoại cố định
Packet Cable Media Gateway, CMTS, Access Manager: các tổng đài chuyển mạch
Cellular Network (MSC, BSC): mạ ng di động 2G
Mobile Station: thiết bị di động đầu cuối Handover: chuyển giao
BTS: trạm thu phát sóng di động.
Với báo hiệu phù hợp, một cuộc gọi di động có thể đƣợc chuyển vùng sang ống dẫn băng rộng. Một khía cạnh quan trọng khác của định tuyến cuộc gọi qua băng rộng là việc đối xử đặc biệt cần thiết cho lƣu lƣợng thoại trong ống dẫn băng rộng. Các phần kế tiếp sẽ nói rõ việc làm thế nào để thiết lập QoS trong ống dẫn DOCSIS®/WLAN/IP.
2.4.4 QoS trong hệ thống hội tụ end-to-end
QoS dựa trên ý tƣởng là các tốc độ truyền dẫn, tỉ lệ lỗi và các đặc tính khác có thể đƣợc đo kiểm, cải thiện và trong một mức độ nào đó là đƣợc bảo đảm trƣớc. QoS là vấn đề đƣợc quan tâm đặc biệt cho việc truyền dẫn liên tục thông tin thoại, video băng thông cao và thông tin đa phƣơng tiện. Việc truyền dẫn các loại nội dung này một cách đáng tin cậy là khá khó khăn trong các mạng cơng cộng đang sử dụng các giao thức “best effort” thông thƣờng.
Tai của con ngƣời rất nhạy với trễ trong khi thực hiện đàm thoại 2 chiều. Trễ vƣợt quá 200 msec tạo ra sự khó chịu. Nó gây ra 2 vấn đề: tiếng vọng và sự chồng lấn đàm thoại. Hầu hết các vấn đề về tiếng vọng có thể đƣợc xử lý bằng các bộ triệt tiếng vọng. Chồng lấn đàm thoại (hay là việc ngƣời này nói chồng lên tiếng nói của ngƣời kia) trở nên quan trọng nếu nhƣ trễ một chiều lớn hơn 200 msec.
Việc giảm trễ end-to-end sẽ đƣợc hƣớng vào việc giảm trễ qua mạng gói. Mỗi phần tử trong hệ thống end-to-end phải tối thiểu hóa phần góp trễ của nó vào tổng trễ. Trễ sinh ra từ trễ trực tiếp của các phần tử thông tin hoặc từ các đệm de-jitter cần thiết để bù cho thời gian đến biến thiên của các gói trong các liên kết nhất định. Mỗi phần của mạng cần sử dụng các cơ chế để điều khiển trễ và đảm bảo sự biến thiên thời gian đến của gói (jitter). Phần tiếp sẽ kiểm tra QoS ở mỗi phần của mạng từ một máy điện thoại di động, đi qua điểm truy nhập WLAN và DOCSIS vào Media Gateway.
2.4.5 QoS trên liên kết WLAN
802.11e (hay những chuẩn có nguồn gốc từ 802.11e nhƣ WME và WSM) có nội dung về các lựa chọn để điều khiển QoS. Các thiết kế 802.11 hiện hữu chỉ thực thi giao thức điều khiển truy nhập trung gian (MAC) best-effort, nhƣ đƣợc định nghĩa trong chuẩn đầu tiên.
802.11e cung cấp 2 cơ chế để hỗ trợ các ứng dụng có yêu cầu QoS là:
- Truy nhập kênh phân tán tăng cƣờng (EDCA) phân phát lƣu lƣợng dựa trên việc phân biệt mức ƣu tiên của đối tƣợng sử dụng. Sự phân biệt này đạt đƣợc nhờ (1) thay đổi lƣợng thời gian mà một thiết bị đầu cuối biết đƣợc kênh đang rỗi trƣớc khi back-off hay phát và (2) thích ứng độ dài của cửa sổ va chạm đƣợc sử dụng cho back-off (là khoảng thời gian mà một thiết bị đầu cuối có thể phát sau khi nó tìm
đƣợc kênh). Điều này đƣợc thực hiện nhờ việc sử dụng khoảng cách giữa các khung quyết định (AIFS) thay đổi dựa trên các yêu cầu QoS.
- Truy nhập điều khiển kênh lai kết hợp (HCCA) cho phép đặt trƣớc các cơ hội phát tín hiệu (TXOP) với điểm truy nhập (AP). Trạm yêu cầu TXOP vào lúc bắt đầu phiên. AP lập lịch TXOP cho cả AP và thiết bị đầu cuối trong khoảng thời gian khơng có va chạm (CFP) thƣờng xảy ra lặp đi lặp lại theo cơ sở thông thƣờng. Trong CFP, AP sẽ khởi hoạt các giao dịch. Đối với việc truyền dẫn từ thiết bị đầu cuối, AP sẽ chọn thiết bị đầu cuối dựa trên các tham số đƣợc thiết bị đầu cuối cung cấp ở thời điểm thiết bị đầu cuối yêu cầu. Để truyền dẫn đến thiết bị đầu cuối, AP phân phát các khung đƣợc xếp hàng trực tiếp tới thiết bị đầu cuối.
Cơ chế HCCA có thể phù hợp tốt hơn EDCA đối với các ứng dụng thời gian thực nhƣ thoại và video, các ứng dụng này sự phục vụ định kỳ từ AP. Điều này là vì EDCA về bản chất có tính ngẫu nhiên hơn và do vậy làm gia tăng trễ trung bình và jitter. Tuy nhiên, phƣơng thức EDCA thực thi đơn giản vì nó khơng liên quan tới các cơ chế đặt trƣớc và lập lịch trình phức tạp. Ban đầu, nó đƣợc mong đợi đƣợc sử dụng rộng rãi hơn.
2.4.6 QoS trên liên kết sử dụng giao thức định tuyến IP
Các dịch vụ phân biệt DiffServ và chuyển mạch nhãn đa giao thức MPLS là 2 chuẩn cố gắng giải quyết các vấn đề về chất lƣợng IP. DiffServ lấy trƣờng kiểu của dịch vụ (ToS) IP, đổi tên nó thành trƣờng phân biệt dịch vụ (trƣờng DS) và sử dụng nó để mang thơng tin về các u cầu dịch vụ gói IP. Nó chỉ vận hành ở lớp 3 và khơng xử lý ở lớp thấp hơn. Cịn MPLS xác định làm thế nào để lƣu lƣợng lớp 3 có thể đƣợc sắp xếp để chuyển tải lớp 2 đƣợc định hƣớng kết nối. MPLS bổ sung một nhãn chứa thơng tin định tuyến nhất định cho từng gói IP và cho phép các router gán các đƣờng dẫn cho các loại lƣu lƣợng khác nhau. Nó cũng cho phép thực hiện kỹ thuật lƣu lƣợng và các kỹ thuật có thể thúc đẩy hiệu quả định tuyến IP.
MPLS liên quan đến việc thiết lập đƣờng dẫn cho một chuỗi các gói, đƣợc nhận biết bằng việc đặt nhãn vào từng gói, do vậy tiết kiệm thời gian cần thiết cho router khi tìm kiếm địa chỉ nút kế tiếp và chuyển tiếp gói. MPLS cho phép hầu hết các gói đƣợc chuyển tiếp ở lớp 2 (chuyển mạch) hơn là ở lớp 3 (định tuyến). Ngoài việc làm cho lƣu lƣợng dịch chuyển nhanh hơn, MPLS còn làm dễ dàng quản lý mạng bằng QoS.
2.4.7 Kết nối lại với nhau
Mỗi phân đoạn mạng thơng tin đều có cơ chế QoS riêng. Vấn đề thách thức là làm cho các phân đoạn này phối hợp hoạt động với nhau một cách thông suốt để cung cấp QoS end-to-end.
Một sắp xếp giao thức end-to-end thể hiện cuộc gọi giữa máy điện thoại di động đƣợc kết nối thông qua điểm truy nhập modem cáp đến một điểm kết cuối điện thoại di động hay tế bào hoặc điểm kết cuối điện thoại cố định qua mạng PSTN. Để đơn giản, chỉ có các giao thức mang âm thanh đƣợc chỉ ra (cho kịch bản có khả năng hay xảy ra nhất), nhƣng đó vẫn là một hệ thống khá phức tạp.
Mỗi giao thức cho phép nhiều cơ chế QoS và tổ hợp cao hơn việc lựa chọn các tham số hoạt động. Sự kết hợp kỹ lƣỡng giữa các giao thức là cơ bản cho giải pháp tối ƣu. Thí dụ, cả DOCSIS và WLAN cung cấp các cơ chế QoS đƣợc lập lịch (UGS trong DOCSIS và HCCA trong WLAN). Việc kết hợp chúng là để cung cấp QoS end-to-end tốt hơn việc kết hợp UGS với EDCA. Việc đồng bộ giữa tất cả các phân đoạn làm giảm tổng trễ và jitter, đặc biệt khi sử dụng các dịch vụ đƣợc lập lịch. Sự kết hợp giữa DSP của máy điện thoại di động, CMTS và các bộ lập lịch của AP không phải là một nhiệm vụ ít quan trọng mà nó sẽ giúp cho giảm tổng trễ và jitter.
2.5 CÁC VẤN ĐỀ AN NINH VÀ BẢO MẬT TRONG BcN
Tấn công mạng, đe doạ sự hoạt động của các doanh nghiệp cũng nhƣ tính bảo mật của dữ liệu cơng ty và cá nhân luôn là một vấn đề thƣờng xuyên xảy ra. Tính bảo an khi thiết kế mạng khơng chỉ ln đƣợc tính đến mà cịn là một đặc tính của hệ thống. Bảo an là một phần tử cơ bản của cơ sở hạ tầng và các ứng dụng công nghệ thông tin. Bảo an cũng là một yêu tố quan trọng để vận hành ổn định các dịch vụ viễn thông.
Xu thế hội tụ mạng đang diễn ra khắp nơi, các mạng sẽ hội tụ thành một cơ sở hạ tầng thống nhất dựa trên IP để tăng tính hiệu quả và giảm chi phí mạng. Tuy nhiên, các mạng hội tụ là các mạng rất dễ bị tấn công. Do vậy, việc lựa chọn các thiết bị mạng, các mơ hình bảo an và các ứng dụng cần phải đảm bảo tính an tồn để cho mạng có thể vận hành liên tục và hiệu quả.
Một số hình thực đe doạ mạng là sâu máy tính (worm), virus, từ chối dịch vụ (DoS) và các hành động có mục đích xấu khác nhằm làm giảm chất lƣợng mạng hay tính ổn định dịch vụ. Để đảm bảo tính ổn định của mạng, các chiến lƣợc sau cần đƣợc thực hiện:
- Bảo vệ phần tử mạng: cung cấp tính an tồn cao ở mức nút. Tất cả các phần tử mạng phải cung cấp đầy đủ sự bảo vệ cho các tài nguyên và dịch vụ của riêng nó. - Bảo vệ mạng và địa chỉ IP: cung cấp tính an tồn cho cơ sở hạ tầng bao gồm việc ngăn chặn truy nhập các mạng con, chống và khố địa chỉ IP giả mạo, chống và
truy tìm DoS,… Việc giả mạo địa chỉ IP sử dụng cả không gian địa chỉ đã đăng ký và chƣa đăng ký là phƣơng tiện chuyển tải phổ biến nhất đối với các hành vi có mục đích xấu.
- Bảo vệ mặt phẳng điều khiển: Việc bảo vệ hoạt động của mặt phẳng điều khiển là bắt buộc để đảm bảo sự vận hành ổn định của toàn mạng. Điều này bao gồm cả các chính sách bảo vệ bên trong lẫn bên ngồi do các tấn cơng xuất phát từ cả hai phía.
- Bảo vệ dịch vụ: việc cho phép thực hiện các chính sách bảo an dịch vụ là một phƣơng thức hiệu quả làm giảm bớt các đe doạ. Nếu truy nhập tới nút hay tới phân đoạn là các dịch vụ đƣợc điều khiển từ phần cịn lại của mạng thì mức bảo vệ cao sẽ đƣợc thực hiện ngay lập tức.
Tính bảo an trở nên một vấn đề hoàn toàn khác khi cơ sở hạ tầng dựa trên IP đƣợc sử dụng để cung cấp các dịch vụ truyền thống vốn đƣợc cung cấp trên các mạng riêng biệt. Tuy các mạng TDM cũng bị các tấn cơng nhƣng điều khác biệt đó là việc tấn cơng với mục đích xấu vào các mạng và các host dựa trên IP có khả năng lan rộng rất nhanh. Do vậy các thiết bị cho mạng hội tụ trên cơ sở IP cần phải thực hiện các tính năng bảo an cao hơn nhiều so với các thiết bị truyền thống.
Ngoài ra, trong các mạng hội tụ dựa trên IP, đe doạ còn xảy ra đối với cả các cuộc đàm thoại bị nghe lén. Nguyên nhân là do mạng IP cho phép ngƣời sử dụng có thể truy nhập trực tiếp và rộng rãi. Trong các mạng truyền thống thiết bị thƣờng ít đƣợc kết nối vào mạng IP và do vậy ít bị truy nhập trái phép. Việc mã hố có thể ngăn chặn các đe doạ. Các truy nhập tới dữ liệu nhằm mục đích giải mã phải đƣợc điều khiển nhờ việc sử dụng các kỹ thuật xác thực và cấp phép mức cao nhƣ các kỹ thuật hỏi-đáp, mật khẩu một lần và điều khiển truy nhập.
Đe doạ tính tồn vẹn là các đe doạ dựa trên việc chèn nội dung giả vào các file hay dịng thơng tin không đƣợc bảo vệ. Khi đọc hoặc thi hành các file đã bị chèn có thể sẽ dẫn tới việc phá vỡ hoạt động của hệ thống. Thông tin cũng có thể bị thay đổi dẫn tới việc biên dịch sai nội dung của dữ liệu. Một dạng đe doạ tính tồn vẹn khác là giả mạo nhận thực của khách hàng hợp lệ. Khi thành cơng, kẻ giả mạo có thể truy nhập tới các thơng tin hay hệ thống với đầy đủ đặc quyền của ngƣời sử dụng hợp pháp.
Các kỹ thuật xác thực và mật hiệu đƣợc sử dụng để ngăn chặn các đe doạ tính tồn vẹn. Ngƣời sử dụng, thiết bị và các ứng dụng phải luôn đƣợc xác thực và cấp phép trƣớc khi đƣợc phép truy nhập vào các tài nguyên của mạng hội tụ. Ví dụ, máy điện thoại kết nối vào mạng phải đƣợc xác thực trƣớc để đƣợc phép truy nhập vào các server nhằm thực hiện cuộc gọi. Tấn công kiểu “nhân vật trung gian” là một dạng khác do khơng kiểm tra tính ngun vẹn dữ liệu. Nhân vật trung gian sẽ lừa cả 2 phía đang liên lạc với nhau để họ tin rằng họ đang giao tiếp trực tiếp với nhau tuy
rằng thực tế là họ đang giao tiếp qua nhân vật trung gian. Việc sử dụng mật hiệu và kiểm tra nội dung thông tin là một kỹ thuật để tránh tấn công kiểu này.
Tấn công từ chối dịch vụ (DoS) là một kiểu làm tràn lƣu lƣợng mạng bằng cách cố gắng gửi các thơng báo cho thiết bị hay tồn mạng về việc không thể sử dụng đƣợc mạng đối với các khách hàng đã đƣợc cấp phép. Các tấn công từ chối dịch vụ phân tán (DDoS) xảy ra khi kẻ tấn cơng nắm đƣợc quyền điều khiển nhiều máy tính và hƣớng chúng tới việc tấn cơng đồng thời một đích nào đấy. Kiểu tấn cơng DoS này là khó đối phó vì số lƣợng kẻ tấn công rất nhiều. Nhiều tấn công DoS có thể tránh đƣợc nhờ việc sử dụng các bƣớc thực thi tuân theo IETF RFC 1918 (Cấp phát địa chỉ cho mạng Internet riêng) và 2827 (Lọc bên trong mạng: huỷ bỏ các tấn công từ chối dịch vụ sử dụng việc giả mạo địa chỉ IP nguồn).
Các phần tử bảo an gồm có: xác thực, cấp phép, tính tồn vẹn dữ liệu, xác thực dữ liệu gốc, tính tin cậy của dữ liệu, tính khả dụng của mạng.
Các cơng nghệ bảo an chính là: - Mật mã: Hashing, PKI, DES
- Xác thực: PPP PAP/CHAP, EAP, RADIUS
- Tính an tồn của lớp ứng dụng: S-HTTP, S/MIME - Tính an tồn của lớp chuyển tải: SSL, TLS, SSH - Tính an tồn của lớp mạng: IPSec
- Tính an tồn của lớp liên kết: L2TP, MPLS VPN
Bên cạnh các vấn đề về an ninh tƣơng tự nhƣ của mạng hữu tuyến, tính chất mở của kênh vơ tuyến khiến mạng khơng dây có những nguy cơ an ninh tiềm ẩn nhƣ khả năng bị truy nhập và thay đổi thông tin/dịch vụ trái phép.
Mơ hình an ninh cơ bản của hệ thống 2G bao gồm 4 bƣớc: Cung cấp thông tin an ninh
Đăng ký sử dụng mạng
Xác thực và thoả thuận khoá mã (Authentication and Key Agreement – AKA)
Mã hoá kết nối
Cung cấp thông tin an ninh bao gồm việc tạo và phân phối thông tin xác thực cho cả ngƣời sử dụng và mạng di động. Với hệ thống GSM, một khoá bảo mật dùng chung đƣợc lƣu trong thẻ SIM và cơ sở dữ liệu của nhà cung cấp dịch vụ di động. Với hệ thống IS-41, khố mã đƣợc lập trình thẳng vào thiết bị di động. Sau khi có thơng tin xác thực, ngƣời sử dụng thực hiện đăng ký để đƣợc phép sử dụng mạng. Sau đó, giao thức AKA đƣợc kích hoạt để xác thực ngƣời dùng và xác định xem ngƣời dùng có đƣợc phép thực hiện cuộc gọi khơng. Với GSM, có chế u cầu –
đáp ứng sử dụng mã khoá đƣợc sử dụng. IS-41 cũng sử dụng cơ chế yêu cầu – đáp ứng nhƣ GSM.
Mã hố giúp bảo vệ thơng tin của ngƣời sử dụng. Trong hệ thống IS-41, mã hố thơng tin đƣợc áp dụng cho phần kết nối giữa MS và BS. Gói tin thoại đƣợc mã hoá